Si chiama Fizzer il nuovo worm di Kazaa

[Jaki]

Si chiama Fizzer il nuovo worm di Kazaa

Un nuovo worm si sta diffondendo in questi giorni su Internet attraverso la posta elettronica e la rete utilizzata dagli utenti di Kazaa, il noto software per il file sharing. Il worm, denominato Fizzer, crea una Backdoor sul computer attaccato ed è in grado di memorizzare le informazioni digitate. Fizzer giunge via e-mail come file eseguibile allegato a messaggi di posta elettronica, il cui oggetto è creato ad arte per spingere il destinatario ad aprire l’allegato; il nome del file eseguibile è anch’esso variabile ed è selezionato da una lista di nomi inclusa nel worm. Fizzer può infettare solo i sistemi Windows, diffondendosi attraverso le cartelle condivise di una rete o tramite la rete di Kazaa.
Il worm memorizza i dati digitati dall’utente ignaro e li conserva in un file codificato; tale file potrebbe essere recuperato in seguito da pirata informatico e filtrato alla ricerca di password o di altre informazioni riservate.

[pcosta]

Dettagli tecnici per chi fosse curioso di sapere cosa fa un virus come Fizzer:

copia se stesso come:
%Windir%\iservc.exe
%Windir%\initbak.dat
( %Windir% sta per C:\Windows o C:\Winnt o dovunque sia installato Windows)


Crea i seguenti file:
%Windir%\ProgOp.exe (15,360 bytes).
%Windir%\iservc.dll (7,680 bytes), questo è il keylogger
%Windir%\data1-2.cab, qui ci mette (criptati) tutti gli indidrizzi di email che trova nel vostro PC)
%Windir%\iservc.dat.
%Windir%\Uninstall.pky: ogni 30 secondi il virus guarda se esiste questo file. Se esiste, si disinstalla
%Windir%\upd.bin.

Aggiunge nel registry il valore:

"SystemInit"="%Windir%\iservc.exe"

nella chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
(così si avvia alla partenza di Windows.)


Modifica il valore della chiave di registry:

HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\ open\command

in:

@="%Windir%\ProgOp.exe 0 7 '%Windir%\notepad.exe %1''%Windir%\initbak.dat''iservc.exe'


Cancella qualsiasi programma il cui nome inizia con:
NAV
SCAN
AVP
TASKM
VIRUS
F-PROT
VSHW
ANTIV
VSS
NMAIN


Crea un mutex (semaforo), SparkyMutex, per far si che venga eseguita una sola istanza di se stesso.


Tenta di connettersi a server IRC, tra cui:
irc.awesomechat.net
irc.blueshadownet.org
irc.chatlands.org
irc.darkmyst.org
irc.hemmet.chalmers.se
irc.exodusirc.net
irc.mirc.gr


Registra tutto quello che digitate in %Windir%\iservc.klg (criptato)

Trova la cartella di Kazaa per infettarne i file contenuti, per esempio sostituendo pippo.mp3 con una copia dal nome pippo.mp3.exe.

Si collega alla chat di AOL (AIM)

Attiva un server HTTP sulla porta 81.


Usa le porte 2018, 2019, 2020, and 2021 per consentire l'ingresso da internet sul vostro PC


Cerca di collegarsi a Geocities per scaricare un aggiornamento.

Reecupera gli indirizzi email dalla Rubrica, dai cookies, dai file temporanei Internet, ecc., poi usa il vostro programma di posta per spedirsi a tutti questi indirizzi.

la email che invia ha queste caratteristiche:

Oggetto: uno di questi:

I thought this was interesting...
rather psychedelic...
found this on the net, you might like it...
discothèque
imbrue
Damn it feels good to be gangsta.
The way I feel - Remy Shand
Paradigm Shift
WASSUP!
Know Thyself
Hell
I love you
Please discard if you don't like or agree with our present leadership...
little popup remover
B cannot remember
Yo, WASSUP, B?
an interesting program...
You might not appreciate this...
I think you might find this amusing...
LOL
check this out... hehehe
question...
see you tomorrow.
how are you?
you need to lose weight.
why?
kind of simple, but fun nonetheless.
check it out.
Ist das nicht lustig? ;)
Das Wetter ist gut.
Gut geschlafen?
erstmal unter die dusche ..
Og.. :)
Wer ist hier das Schaf?
Morgen uggi ;))
moin uk-world
hierzu kann ich nur anmerken das fix nen Bettnässer ist
huhu Camper ;))
Sandy es freut mich sehr, daß du heut so gut drauf bist ;)
da kannst ja gleich einen kuchen auch noch backen ;D
ohje ;)
hmm sandy und backen ???
heidelbeerkuchen ;)
jo Camper, das kann ich auch ;)
die dich nur anschnautzen kann und sonst nix ;)

Messaggio: uno di questi:

I sent this program (Sparky) from anonymous places on the net.
The way to gain a good reputation is to endeavor to be what you desire to appear.
There is only one good, knowledge, and one evil, ignorance.
Watchin' the game, having a bud.
Did you ever stop to think that viruses are good for the economy? Maybe the primary creators of the world's worst viruses are the companies that make the Anti-Virus software.
Today is a good day to die...
so, how are you?
the attachment is only for you to look at
you must not show this to anyone...
delete this as soon as you look at it...
Let me know what you think of this...
If you don't like it, just delete it.
thought I'd let you know
you don't have to if you don't want to.

Allegato: una di queste estensioni
.exe
.pif
.com
.scr

[Jaki]

Solution:

MANUAL REMOVAL INSTRUCTIONS

This procedure terminates the running malware process from memory.

Open Windows Task Manager.
On Windows 95, 98 and ME systems, press
CTRL+ALT+DELETE
On Windows NT/2000/XP systems, press
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs*, locate the process:
iservc.exe
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On systems running Windows 95, 98 and ME, Windows Task Manager may not show certain processes. You may use a third party process viewer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions.

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
In the right panel, locate and delete the entry or entries:
SystemInit = "%Windows%\ISERVC.EXE"
Addressing Registry Shell Spawning

Registry shell spawning executes the malware when a user tries to run a .TXT file. The following procedures should restore the registry to its original settings.

Still inside REGEDIT, in the left panel, double-click the following:
HKEY_CLASSES_ROOT>txtfile>shell>open>command
In the right panel, locate the registry entry:
Default
Check whether its value is the path and filename of the malware file.
If the value is the malware file, right-click Default and select Modify to change its value.
In the Value data input box, delete the existing value and type the default value:
"%1" %*
Close Registry Editor.
Restarting the system

Restart your system to remove iservc.dll from memory.

Locating and Deleting Dropped Files

On Windows 9x/NT


Click Start>Find>Files and Folders.
In the Named input box, type:
ISERVC.KLG;DATA1-2.CAB; UPD.BIN; UNINSTALL.PKY
In the Look In drop-down list, select the drive which contains Windows, then press Enter.
Delete the files, if found
On Windows 2000/ME/XP

Click Start>Search>For Files and Folders.
In the Search for files and folders named input box, type:
ISERVC.KLG;DATA1-2.CAB; UPD.BIN; UNINSTALL.PKY
In the Look In drop-down list, select the drive which contains Windows, then press Enter.
Delete the file, if found.